Вирусные аналитики компании «Доктор Веб» исследовали нового банковского трояна, угрожающего пользователям операционной системы Microsoft Windows.
Вирусные аналитики компании «Доктор Веб» исследовали нового банковского трояна, угрожающего пользователям операционной системы Microsoft Windows.
Эта вредоносная программа, созданная вирусописателями на основе исходных кодов другого опасного банковского троянца — Zeus (Trojan.PWS.Panda), получила наименование Trojan.PWS.Sphinx.2.
Основное предназначение банкера заключается в выполнении веб–инжектов. Троянец встраивает в просматриваемые пользователем веб–страницы постороннее содержимое – например, поддельные формы для ввода логина и пароля, информация из которых передается злоумышленникам.
Потенциальная жертва обычно не замечает подмены: URL интернет–ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляется на веб–страницу прямо на зараженном компьютере. При этом банковские троянцы могут обворовывать клиентов множества кредитных организаций, поскольку данные для выполнения веб–инжектов они получают с управляющего сервера. Если пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб–страницу заранее сформированный злоумышленниками контент.
Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак по технологии MITM (Man in the middle, «человек посередине»). В составе троянца имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах.
Примечателен оригинальный способ автоматического запуска троянца на инфицированной машине: для этого используется сценарий на языке PHP и приложение–интерпретатор этого языка. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троянец хранит в зашифрованном виде в системном реестре Windows. Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован. Антивирус Dr.Web успешно детектирует и удаляет троянца Trojan.PWS.Sphinx.2.